SOA und IT-Security: Das BSI bietet praktische Hilfe bei zwei Modethemen

von Dr. Michael Karger, veröffentlicht am 15.01.2008

Rechtsgebiete: BSIIT-SicherheitSOAService-orientierte ArchitekturIT-RechtUrheber- und Medienrecht|4276 Aufrufe

Der Blick in die aktuellen Seminar-Flyer oder in Fachzeitschriften wie die Computerwoche zeigt es: „SOA“ und „IT-Security“ sind auch für 2008 ganz heiße Themen für Berater. So warnt zum Beispiel das Marktforschungs- und Beratungshaus Gartner jüngst die IT-Verantwortlichen laut Computerwoche (Nr. 1/2 vom 11.01.2008, S. 10 f.) vor nicht weniger als 12 „SOA-Fallen“. Vor einer weiteren Falle will das Bundesamt für die Sicherheit in der Informationstechnik (BSI) www.bsi.de schützen: Bei SOA-Projekten darf die IT-Sicherheit nicht vergessen werden ! Am 9. Januar 2008 hat das BSI ein 48-seitiges „SOA Security Kompendium“ zum Download bereitgestellt, das es auch dem Juristen etwas einfacher macht, in diesen Themenbereich einzusteigen.

Was bedeutet eigentlich „SOA“ ? Wer sich die branchenspezifischen Termini nicht aneignet, ist im IT-Recht gleich verloren. Sieht man sich den aktuellen Beitrag zu SOA im deutschen Wikipedia an, wird man als Nicht-Insider nicht wirklich klüger. Hier hilft nun das BSI weiter, indem es in seinem Kompendium den Versuch einer verständlichen Definition macht und eine Einführung in die grundlegenden Aspekte der Service-orientierten-Architekturen gibt. Service-orientierte Architekturen beschreiben „einen allgemeinen Ansatz zur Realisierung komplexer IT-Systeme und der Abbildung von Geschäftsprozessen in solchen Systemen. Die Konzepte von SOA haben den Anspruch, viele bestehende Probleme bei der Integration und Interaktion unterschiedlicher Teilsysteme zu lösen.“

Als Hauptanwendungsbereiche identifiziert das BSI das eGovernment, das Finanzwesen und Service-Zentren. Das BSI stellt klar, was man eigentlich schon vermutet hatte, nämlich dass dieses Konzept „keineswegs neu“ ist. Gleichwohl sind entsprechende Projekte komplex und schwierig umzusetzen. Dies gilt vor allem für Juristen, die die geltenden Anforderungen in Verträgen abbilden müssen.

Dauerbrenner IT-Security: Auch die IT-Sicherheit ist einer Dauerbrenner und ein Thema, das in entsprechenden Projektverträgen zu berücksichtigen ist. So hat sich über die letzten Jahre ein „IT-Sicherheitsrecht“ entwickelt, das unter dem Aspekt der zivilrechtlichen und strafrechtlichen Haftung nicht nur die IT-Mitarbeiter, sondern auch die Leitung eines Unternehmens interessieren muss (siehe hierzu z.B. Heckmann, Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen – Maßstäbe für ein IT-Sicherheitsrecht, MMR 2006, 280). Klassische Themen der IT-Sicherheit sind z.B. die Verfügbarkeit und die Unversehrtheit von Systemen und Informationen.

Sicherheitsanforderungen bei SOA: Der Verdienst des BSI-Kompendiums ist es, die Sicherheitsanforderungen an eine SOA verständlich zu machen und zu strukturieren – mit Schlagworten, die auch als Überschrift für einen Vertrag oder eine Leistungsbeschreibung oder ein Sicherheitskonzept (Security Framework) dienen könnten. Hier finden sich Themen, bei denen die Juristen jedenfalls begleitend eingebunden sein sollten:

Authentifizierung

Autorisierung

Integrität

Vertraulichkeit

Verbindlichkeit

Verfügbarkeit und Ausfallsicherheit

Administrierbarkeit

Datenschutz

Audit

Revisionssicherheit

Fazit: Das BSI liefert wertvolles und zugleich kostenloses Know-How, zwar nicht unbedingt für Juristen geschrieben, aber für diese recht gut verständlich.